Berputar rata-rata

Berputar rata-rata

Stock-options-vs-stock-waran
Option-trading-ebook
Rm30-miliar-bank-negara-malaysia-forex-skandal


Insentif-stock-options-fica Stock-options-instead-of-salary Uf-forex Stock-options-non-employee Daftar-broker-forex-di-nigeria Kidspeace-online-training

Splunk: Different States Of Matter Splunk mengadakan pertemuan analis tahunan dan beberapa di antaranya menyampaikan gambaran yang ambigu mengenai pertumbuhan pendapatan. Perusahaan telah mengalami peramalan waktu yang sulit - hanya tidak dapat meramalkan waktu transaksi besar dan dengan demikian telah mencapai secara dramatis secara dramatis. Perusahaan telah menjalani transisi ke awan yang telah berdampak pada margin kotor dan mungkin menghambat pertumbuhan pendapatan - meskipun angka mentah tetap fantastis. Gunakan kasus untuk data mesin - pada dasarnya apa yang dilakukan perusahaan ini - terus berkembang secara eksponensial. Perusahaan terus secara dramatis melampaui kompetisi berdasarkan berbagai jenis survei di ruang data mesinnya. Splunk - Keadaan keenam materi berarti investor membutuhkan kartu skor untuk menguraikan harapan Fisika bukanlah salah satu mata pelajaran yang membuat saya tertarik selama karir pendidikan saya. Saya pergi ke sebuah sekolah menengah dan kemudian sebuah universitas di mana fisika merupakan bidang studi yang wajib, namun pengetahuan yang diberikan tidak tetap ada. Ini lebih dari setengah abad dan yang saya ingat adalah gerobak baja kecil itu dengan bola baja yang bergoyang-goyang di bawah tanjakan dan rekan lab yang sangat serius yang menolak usaha kecilku yang salah tentang betapa cepat gerobak kecil itu dipercepat. Jadi, ketika melakukan sedikit penelitian latar belakang untuk artikel ini, saya menemukan bahwa Splunk adalah keadaan keenam materi, yang lain padat, cair, gas, plasma dan data. Saya benar-benar tidak pernah tahu ada enam keadaan materi atau nama Splunk (NASDAQ: SPLK). Splunk mengacu pada sesuatu yang melihat dan mengindeks semua data. Dan Splunk adalah mesin data yang beroperasi tanpa area abu-abu, tanpa bayangan dan tanpa awan. Itu bukan definisi buruk fungsionalitas perusahaan dan mantranya. Ini adalah definisi yang jauh lebih tidak tepat mengenai kinerja sahamnya dan berapa banyak pengamat yang melihat perusahaan. Splunks saham telah dilakukan sangat sedikit untuk bagian yang lebih baik dalam setahun dan memang turun 16 dari tinggi mencapai Agustus lalu. Isu yang telah membatasi saham termasuk kekhawatiran tentang profitabilitas dan potensi melambatnya pertumbuhan. Saya kurang memperhatikan penurunan tingkat pertumbuhan perusahaan secara dramatis daripada saya dalam irama jalannya menuju profitabilitas. Karena pertumbuhan perusahaan dan kelemahan harga saham baru-baru ini, saham tersebut kini telah mencapai valuasi yang relatif menarik. Dan saya pikir kemungkinan untuk melihat kinerja harga saham yang jauh lebih baik dan alfa positif setelah laporan kuartalan pada bulan Februari menunjukkan bahwa tidak benar-benar melihat perlambatan pertumbuhan material. Baru-baru ini ada pengamat, termasuk satu di situs ini. Yang percaya bahwa pertemuan analis baru-baru ini yang diadakan beberapa minggu lalu merupakan cara terselubung untuk mengurangi panduan untuk tahun fiskal mendatang. Sulit untuk menyangkal bahwa perusahaan memperkirakan pendapatan untuk tahun fiskal mendatang sebesar 1,175 miliar yang akan meningkat secara material kurang dari tahun ini. Memang 1,175 miliar pendapatan akan menjadi 26 pertumbuhan pendapatan dari proyeksi pendapatan konsensus saat ini untuk tahun fiskal 2017, yang berakhir awal minggu depan. Pertumbuhan seperti itu tidak akan disambut dengan baik oleh pemegang saham atau calon pemegang saham setelah pertumbuhan tahun ke 40. Tapi mengingat track record yang dimiliki perusahaan ini dalam hal bimbingan, saya rasa saya tidak akan menggunakan angka yang disajikan sebagai perkiraan serius. Saya berharap perusahaan akan mengalahkan perkiraan untuk kuartal saat ini dan akan menaikkan panduan untuk tahun fiskal 2018 (berakhir 131). Menurut saya persentase pertumbuhan cukup moderat karena perusahaan melewati ambang tahunan 1 miliar tahunan. Tapi pertanyaannya adalah seberapa besar pertumbuhan moderat. Dan dugaan saya, tidak banyak dan tidak mendekati apa yang ada dalam perkiraan yang disajikan beberapa minggu yang lalu. Mungkin masalah investasi yang paling signifikan untuk perusahaan ini adalah pertumbuhan stock based comp yang selama ini berada di luar kendali beberapa tahun terakhir. Angka tersebut berbicara sendiri - saham beredar telah mencapai lebih dari 131 juta seperti yang dilaporkan dan akan lebih tinggi lagi ketika hasil akhir tahun dilaporkan karena profitabilitas non-GAAP setahun penuh - CFO mengatakan untuk memodelkan 140 juta saham yang beredar. . Itu adalah kenaikan 40-plus dalam empat tahun dan membuat kemajuan terlihat dalam hal margin non-GAAP yang jauh lebih tidak mengesankan. Perusahaan telah mengakui bahwa jalan yang realistis untuk nilai pemegang saham jangka panjang mencakup pengelolaan dan pengurangan biaya saham berbasis saham ke tingkat yang tidak menghasilkan pengenceran yang sedang berlangsung dan besar-besaran. Tapi sejauh ini, mengakui masalah dan bertindak untuk membatasi hibah saham telah dua hal yang berbeda dan tentang yang terbaik yang dapat dikatakan adalah bahwa pertumbuhan saham berbasis saham mulai tumbuh pada tingkat di bawah pendapatan Splunks meningkat Seperti yang disebutkan, saham Splunk memiliki Dihargai sekitar 12 di atas tahun terakhir ini dan telah menurun 16 sejak mencapai tingkat tinggi pada bulan Agustus. Saya menduga bahwa kinerja kurang dari beberapa bulan terakhir berkaitan dengan pengenceran signifikan dari biaya komposter berbasis saham dan kekhawatiran investor bahwa perusahaan tersebut tidak benar-benar berada pada jalur untuk meningkatkan marginnya ke tingkat yang wajar. Saham Splunk diapresiasi 7,60 hari ini dalam tulisan saya artikel ini. Apresiasi pada dasarnya merupakan faktor pembacaan dari penilaian bahwa Cisco (NASDAQ: CSCO) membayar AppDynamics (Pending: APPD). Splunk memiliki kapitalisasi pasar 7,6 miliar dan nilai perusahaan 6,6 miliar. Berdasarkan konsensus saat ini untuk pendapatan untuk tahun fiskal yang dimulai dalam waktu kurang dari seminggu, EVS adalah 5.6X, mungkin setengah dari nilai yang Cisco bayar untuk AppDynamics. Secara pribadi, saya berpikir bahwa peluang pertumbuhan di ruang ITS ITS (fungsi inti Splunk) secara signifikan lebih besar daripada kesempatan dalam pengujian aplikasi (bisnis AppDynamics). Tapi kemudian orang tidak akan pernah tahu persis apa yang menjiwai akuisisi tertentu. Saham Splunk sekarang cenderung dilihat oleh banyak trader sebagai target pengambilalihan potensial pada valuasi jauh di atas harga saham yang telah terjual akhir-akhir ini. Itu mungkin bukan spekulasi yang tidak masuk akal, walaupun saya pasti tidak memiliki pengetahuan langsung mengenai kapan atau apakah Splunk bisa didapat. Saham Splunk memiliki peringkat First Call yang cukup positif. Target harga konsensus adalah 71, lebih dari 30 di atas harga saat ini. Saya pikir perusahaan harus mulai mencapai beberapa manajemen biaya riil bahkan di tengah porosnya untuk mengumpulkan sumber pendapatan. (Pembahasan tentang transisi perusahaan ke cloud adalah diskusi terpisah yang tidak relevan dalam artikel ini. Transisi tidak sedramatis seperti yang terjadi pada perusahaan lain dan karena sifat Splunk tidak. Model awan hibrida, telah mengalami kerugian sekitar 500 bps dari margin kotor karena transisi tersebut. Pada akhirnya, margin kotor akan naik kembali ke tingkat pra-awan, saya yakin.) Perusahaan mendekati akhir tahun fiskal 2017 dengan Hasil kemungkinan akan dilaporkan sebelum akhir bulan depan. Tampaknya tepat untuk melihat driver pertumbuhan perusahaan dan melihat apakah ada alasan untuk percaya bahwa mereka mungkin akan berkurang atau jika kekhawatiran yang diajukan oleh rapat analis itu valid. Fiskal 2016 (pada dasarnya tahun 2015) melihat kenaikan pendapatan setahun penuh sebesar 48 dan pertumbuhan itu konsisten sepanjang tahun dengan pertumbuhan di Q4. Pada awal tahun fiskal ini, perusahaan memberikan panduan untuk 880 juta pendapatan dan yang mewakili pertumbuhan 32. Perusahaan juga memperkirakan bahwa margin non-GAAP adalah sekitar 5 untuk tahun ini. Datang ke akhir tahun, konsensus saat ini dari 40 analis yang menerbitkan First Call adalah bahwa perusahaan akan mencapai 39 pertumbuhan untuk tahun ini, yang kemudian akan turun menjadi 27 tahun depan. Kuartal terakhir, perusahaan mencapai 41 pertumbuhan. Melalui sembilan bulan, pertumbuhan pendapatan telah mencapai 43,5. Dugaan saya adalah bahwa hasil untuk Q4 akan menghasilkan pendapatan yang sekali lagi jauh lebih besar daripada panduan perusahaan dan konsensus yang saat ini diterbitkan. Konsensus saat ini terhadap 31 pertumbuhan untuk kuartal saat ini hanyalah perkiraan manajemen selama rilis pendapatan terakhirnya. Tapi ketika perusahaan memperkirakan hasil Q3 secara prospektif, pendapatan diperkirakan 229 juta. Ternyata jumlahnya 245 juta. Pada satu tingkat, saya bisa berhenti di sini. Saya tidak akan memperkirakan bahwa Splunk menyediakan perkiraan terbaik mengenai pendapatan apa yang mungkin terjadi. Saya menyarankan agar perkiraan tersebut mewakili sesuatu seperti komitmen minimum yang dilakukan secara kontrak. Saat ini perusahaan meramalkan bahwa pendapatan akan menurun secara berurutan. Apakah itu nampaknya sangat mungkin untuk dicatat, tahun lalu pertumbuhan Q3 ke Q4 adalah 46 juta atau lebih dari 26. Tidak ada tanda bahwa permintaan telah dipecah atau bahwa perusahaan tersebut beralih ke penurunan penjualan atau penjualan yang lebih rendah. Tanpa mengetahui lebih banyak tentang bisnis perusahaan, urutan perkiraan dan kinerja mungkin menunjukkan bahwa investor dan pengamat akan jauh lebih baik dilayani dengan melihat sebidang dua dan menggunakan analisis kecenderungan. Mereka pasti akan mendapatkan hasil yang lebih akurat. Oh omong-omong, perusahaan akan mengalahkan 5 perkiraan marjin operasi non-GAAP juga. Sekarang meramalkan 6 untuk metrik itu. Perpecahan pertumbuhan pendapatan melambat, namun dengan irama yang jauh lebih rendah dan kurang merepotkan dibanding kekhawatiran beberapa pengamat. Sebagian besar melambat benar-benar merupakan fungsi dari lebih banyak pendapatan yang beralih ke awan yang dari waktu ke waktu akan benar-benar berkontribusi terhadap pertumbuhan perusahaan. Apa driver permintaan untuk solusi Splunks dan siapa yang harus mengalahkannya untuk tetap berada dalam mode pertumbuhan Seperti yang telah disebutkan sebelumnya, pasar dimana Splunk menjual perangkat lunaknya disebut SIEM. Splunk telah diberi peringkat pemimpin dalam ruang selama beberapa tahun sekarang oleh Gartner dalam analisis Magic Quadrant-nya. Pesaing terdekatnya adalah IBM (NYSE: IBM), LogRhythm, Hewlett-Packard Enterprises (NYSE: HPE) dan EMC. Perusahaan telah menjadi pemimpin dalam ruang sejak Gartner mulai menulis di sektor ini - empat tahun seperti yang terjadi. Dan ada banyak perubahan besar di atas dewan pemimpin. Pasar yang berdekatan dimana Splunk telah mengakar disebut ITSI-IT Service Intelligence. Perusahaan telah membangun modul untuk teknologi dasar yang berorientasi untuk memastikan bahwa layanan TI disampaikan tanpa gangguan dan anomali diberi tag sebelum menimbulkan masalah. Sama seperti menemukan kanker sebelum ada gejala yang terlihat. Awal bulan ini, IDC memberi peringkat Splunk No. 1 di seluruh dunia untuk analisis operasi TI untuk tahun kedua berturut-turut. Memecat pangsa pasar di ruang adalah 28,5. Tidak ada bukti bahwa posisi pasar Splunks memburuk. Jika perusahaan akan mengalami penurunan secara material akan terjadi karena pasar yang dilelang melambat dan karena perusahaan tidak dapat mengembangkan kasus penggunaan tambahan untuk perangkat lunaknya. Splunk telah mengembangkan kasus penggunaan tambahan untuk perangkat lunak pemantauan log karena telah menjadi perusahaan publik dan mungkin sebelumnya. Ini adalah bagian dari cara perusahaan beroperasi. Baru-baru ini perusahaan telah mengembangkan serangkaian produk yang mengembangkan informasi tentang anomali dalam penggunaan data dan dirancang untuk menjadi bagian dari kain keamanan. Perusahaan ini memiliki beragam alat yang mencoba mengeluarkan nilai dari semua data mesin yang sedang dibuat. Perusahaan ini memiliki solusi akhir-akhir ini yang menyediakan analisis untuk Hadoop. Perusahaan memiliki alat yang memungkinkan pengguna membuat keputusan pemasaran dan promosi secara real time. Ini bisa memberikan analisis data yang sedang diterima melalui sumber-sumber IO. Solusi percikan terus digunakan untuk mendiagnosis masalah operasional melalui korelasi dan memberikan peringatan proaktif dengan mendeteksi pola dan anomali. Ini akan melelahkan, saya pikir, untuk bahkan mencoba untuk menggambarkan semua kasus penggunaan Splunk telah berkembang dalam beberapa tahun terakhir. Tapi saya pikir kesimpulan bahwa seseorang dapat dengan mudah menggambar adalah bahwa lingkungan permintaan tidak memburuk, kemungkinan besar akan memburuk dan bahwa kekhawatiran sebagian investor mengenai hal itu secara dramatis terlalu banyak. Splunk kemungkinan akan terus menumbuhkan pendapatan di atas 30 untuk beberapa tahun ke depan, saya yakin. Saya berpikir bahwa pertumbuhan untuk Splunk benar-benar merupakan fungsi dari kemampuan organisasi untuk mengelola ukuran mutlak bisnis dan untuk mulai mencapai beberapa skala ekonomi. Profitabilitas dan arus kas - alasan mengapa perusahaan dalam bisnis Splunk memiliki jalan yang sangat panjang untuk dijadikan perusahaan yang menguntungkan berdasarkan standar GAAP, walaupun hal itu menghasilkan arus kas positif. Kuartal terakhir, perusahaan tersebut mengubah marjin kerugian operasional GAAP sebesar 37 menjadi non-GAAP yang melaporkan laba 7. Sebagian besar perbedaan ini adalah melalui pengecualian biaya saham berbasis saham. Ini bukan forum yang tepat untuk membahas praktik ini - keyakinan saya bahwa dari perspektif valuasi saham, perusahaan ini telah melampaui batas dari apa yang paling diharapkan oleh investor. Luas terbesar stock based comp adalah pada segmen biaya penelitian dan pengembangan. Dalam hal ini, sementara tingkat pemancaran stock based comp mungkin sedikit outlier, strategi ini telah menjadi tipikal akhir-akhir ini yang mencerminkan kondisi kerja bagi perusahaan yang mencoba meningkatkan kemampuan pengembangan mereka. Strategi percekcokan menyerukan perpanjangan solusi yang cepat dan untuk itu perlu meningkatkan kemampuan pengembangannya secara substansial. Hal ini tidak akan mudah untuk mengendalikan biaya comp saham berbasis yang akan diperlukan untuk menarik pengembang di pasar tenaga kerja yang sangat ketat. Pada Q3, rasio biaya GAAP perusahaan untuk penelitian dan pengembangan mencapai 35 dari pendapatan pada penelitian dan pengembangan, dibandingkan dengan 32 pendapatan pada tahun sebelumnya. Stock based comp sebenarnya 52 dari pengeluaran GAAP untuk penelitian dan pengembangan. Tampaknya sebuah komentar yang jelas untuk menyarankan bahwa Splunk harus mereformasi pengelolaan keuangannya dalam waktu dekat untuk memulai jalan menuju profitabilitas yang diterima oleh sebagian besar investor. Menariknya, tidak ada satu pertanyaan pun tentang panggilan konferensi yang ditujukan pada subjek itu. Kuartal terakhir perusahaan menghabiskan 167 juta atau 68 dari pendapatan yang dilaporkan pada biaya penjualan dan pemasaran. Itu lebih baik dari tahun sebelumnya metrik ketika penjualan dan pemasaran menghabiskan 74 pendapatan, namun tidak ada yang membayangkan bahwa perusahaan di dunia TI - atau dunia lain - dapat menghabiskan jauh lebih dari 30-40 pendapatan penjualan dan pemasaran dan Buat keuntungan GAAP. Mengapa perusahaan pada tahap pertumbuhan ini menghabiskan porsi pendapatan dan penjualan yang luar biasa. Memang sangat sederhana. Sementara beberapa analis memusatkan perhatian pada perkiraan pendapatan fiskal 2018 perusahaan ini, sebuah slide yang lebih baik untuk dilihat adalah perusahaan yang menyediakan analisis kohort pelanggannya. Lima tahun setelah pembelian awal, pengguna kohort fiskal 2011 dan fiskal 2012 meningkatkan pemesanan mereka sebesar 5X dan meningkatkan penggunaan data 8X. Penggunaan data upcharges jelas membawa pada dasarnya 100 margin kotor. Dengan 87 pemesanan lisensi yang berasal dari pelanggan lama, manajemen menghadapi tantangan dalam mencoba menyeimbangkan peluang dan profitabilitas pertumbuhan dan sejauh ini telah turun di sisi pertumbuhan. Mengingat betapa banyak konsumen meningkatkan konsumsi Splunk mereka selama bertahun-tahun, tidak mengherankan jika perusahaan memilih untuk mengeluarkan jumlah yang luar biasa untuk mendapatkan pelanggan dan mengembangkan solusi tambahan untuk menarik calon pengguna. Dari sudut pandang investor, Splunk membuat keputusan untuk memaksimalkan kembali keuntungan jangka panjang yang potensial di ruang yang sedang berkembang. Melakukan hal itu akan menunda dan memilah-milah jalan menuju profitabilitas GAAP selama beberapa tahun. Ketika tanah dan berkembang bekerja, dan bekerja dalam sekop untuk Splunk, strategi logis untuk mempekerjakan adalah menghabiskan banyak uang untuk mendarat. Seperti yang terjadi, ukuran pesanan rata-rata untuk perusahaan ini hanya 50-60.000. Menangkap pelanggan dengan ukuran itu akan menjadi relatif mahal dan akan memakan waktu sebelum pelanggan yang ditangkap akan berubah menjadi paus. Ini adalah teka-teki yang dihadapi oleh kedua perusahaan ini dan oleh pengamat tapi ini adalah alasan mengapa jalan menuju profitabilitas secara non-GAAP akan panjang dan sulit. Secara keseluruhan, biaya operasional GAAP adalah 117 dari pendapatan pada Q3 fiskal dibandingkan dengan 124 pendapatan pada periode sebelumnya dan sampai 122 pendapatan selama sembilan bulan pertama tahun fiskal. Ada kemajuan, bukan kemajuan dramatis atau kemajuan yang akan menghasilkan pendapatan GAAP yang signifikan dalam waktu dekat. Terlepas dari kerugian, perusahaan ini memiliki dan cenderung terus menghasilkan tingkat arus kas yang berarti namun tidak ada yang cenderung membeli saham karena hasil arus kas bebasnya. Lebih dari semua arus kas adalah produk berbasis saham, walaupun beberapa jumlah arus kas adalah produk dari kenaikan pendapatan yang ditangguhkan. Sebagai perusahaan pivot untuk menerima lebih banyak pendapatan dari sumber yang merata seperti awan, nampaknya pendapatan tangguhan akan meningkat lebih cepat daripada sebelumnya, namun secara keseluruhan pertumbuhan arus kas signifikan harus didorong oleh keuntungan - tidak ada sumber arus kas tersembunyi dan Karena harga perusahaan. Pendapatan ditangguhkan tidak akan menjadi substansial relatif terhadap total pendapatan. Bagaimana Splunk menghadapi teka-tekinya? Saya pikir Splunk akan terus melakukan trade off margin performance untuk pertumbuhan pendapatan. Selama hari analis, diperkirakan akan tumbuh 25-30 selama tiga tahun ke depan dan marjin margin non-GAAP akan mencapai 12-14. Angka tersebut sebenarnya agak lebih baik dari yang terlihat. Selama beberapa tahun ke depan, perusahaan akan mentransisikan lebih banyak pendapatannya ke awan dan setidaknya pada awalnya awan tersebut telah menurunkan marjin kotor sebesar 400-600 bps dan mungkin telah beberapa poin di atas pertumbuhan yang dilaporkan - walaupun ironisnya keduanya adalah awan Dan pertumbuhan lisensi abadi yang dilakukan pada kuartal terakhir. Saya berpikir bahwa hanya dengan menceritakan daerah solusi di mana Splunk menciptakan nilai menunjukkan bahwa ia berada pada perhubungan pertumbuhan yang kuat, jika ada sesuatu yang semakin kuat. Dan saya pikir perusahaan tampaknya memiliki posisi kompetitif yang dominan di dalam ruang targetnya. Jawaban mendasar di sini adalah bahwa perusahaan melihat TAM-nya 55 miliar dan akan mengumumkan satu tahun 1 miliar tagihan. Ini tidak akan mengorbankan ayunannya di pasar itu untuk mencapai profitabilitas yang lebih baik - bukan tahun ini, tahun depan atau kapanpun segera. Saya menganggap pengenceran akan melambat dari 6-7 tahun ke tingkat yang lebih rendah seiring berjalannya waktu, tapi akan menjadi faktor konsekuensi karena bagaimana perusahaan ini tumbuh. Sebagian besar pertumbuhan pelanggan baru relatif rendah. Jadi, strateginya harus menjual lebih banyak produk baru dari produk yang mereka beli dan tentu saja untuk menikmati pendapatan yang datang secara otomatis atau kurang karena meningkatnya penggunaan data di hampir semua pelanggan. Dan strategi itu harus menjual pesanan awal yang lebih besar dan untuk mencapai peningkatan ASP. Itu hanya bisa dilakukan dengan memperluas kasus penggunaan untuk data mesin dan itu berarti peningkatan pengeluaran riset dan pengembangan tidak mungkin berkurang secara signifikan dalam waktu dekat. Pertumbuhan marjin GAAP dan margin arus kas bebas yang substansial tidak mungkin banyak bukti untuk perusahaan ini sebelum tahun 2020 atau seterusnya. Investor yang mencari metrik penilaian klasik tidak akan menemukannya di sini. Saya pikir perusahaan akan tumbuh lebih cepat atau mengembangkan komponen pendapatan awan yang lebih tinggi daripada perkiraannya. Tapi itu tidak akan mampu melakukan itu dan mencapai jenis profitabilitas substansial yang diharapkan beberapa pembaca dan investor. Sama seperti ada beberapa keadaan materi yang berbeda, ada beberapa jenis investasi. Splunk adalah salah satu dari jenis investasi yang berbeda dimana profitabilitas akan terus menempati posisi belakang untuk pertumbuhan. Pengungkapan: Saya tidak memiliki posisi dalam saham apa pun yang disebutkan, dan tidak ada rencana untuk memulai posisi dalam 72 jam berikutnya. Saya menulis artikel ini sendiri, dan ini mengungkapkan pendapat saya sendiri. Saya tidak menerima kompensasi untuk itu (selain dari Seeking Alpha). Saya tidak memiliki hubungan bisnis dengan perusahaan yang sahamnya disebutkan dalam artikel ini. Tabel berikut memberi investor Penilaian Realtime individu untuk HACK pada beberapa metrik yang berbeda, termasuk likuiditas, biaya, kinerja, ketidakstabilan, dividen, konsentrasi. Kepemilikan selain peringkat keseluruhan. Bidang ETF Nilai A Metrik, tersedia untuk anggota ETFdb Pro, menunjukkan ETF di Teknologi Ekuitas dengan Peringkat Realtime Metrik tertinggi untuk setiap bidang individu. Untuk melihat semua data ini, masuklah ke uji coba 14 hari gratis untuk ETFdb Pro. Untuk melihat informasi bagaimana ETFdb Realtime Ratings bekerja, klik di sini. HACK Keseluruhan Rating Realtime: Nilai keseluruhan ETF: Tehnik 20 Hari MA: 29.02 60 Hari MA: 27.83 MACD 15 Periode: 0.10 MACD 100 Periode: 1.94 Williams Range 10 Hari: 64.56 Williams Range 20 Hari: 23.39 RSI 10 Hari: 59 RSI 20 Hari: 62 RSI 30 Hari: 61 Oscillator Akhir: 61 Bollinger Brands Lower Bollinger (10 Hari): 29.11 Bollinger Atas (10 Hari): 29.79 Bollinger Bawah (20 Hari): 27.89 Bollinger Atas (20 Hari): 30.08 Turunkan Bollinger (30 Hari): 27.34 Bollinger Atas (30 Hari): 29,98 Support Resistance Support Level 1: 29.19 Support Level 2: 29.00 Resistance Level 1: 29.48 Resistance Level 2: 29.58 Stochastic Stochastic Oscillator D (1 Hari): 59.63 Oscillator Stokastik D (5 Hari ): 56,15 Stochastic Oscillator K (1 Hari): 57,72 Stochastic Oscillator K (5 Hari): 69.66 Praktik Terbaik Lebaran Praktik Terbaik Splunk Topologi Splunk Umum Arsitektur ini memiliki beberapa komponen kunci seperti: Pengindeksan tingkat pengindeksan pengindeksan. Multiple clustered search-peer (pengindeks) meningkatkan kinerja keduanya selama proses pencarian data dan pencarian. Strategi ini mengurangi waktu pencarian dan menyediakan beberapa redundansi untuk mencerna dan ketersediaan data jika server tunggal gagal Satu atau lebih kepala pencarian terpisah. Sistem terpisah ini akan mendistribusikan permintaan pencarian di semua peer-search yang dikonfigurasi untuk meningkatkan kinerja pencarian. Kepala pencarian terpisah ditunjukkan di sini untuk mendukung server Penerapan Aplikasi Splunk8217s Enterprise Security (ES). Sistem ini bisa dikelompokkan dengan layanan Splunk lainnya, atau berdiri sendiri. Untuk penyebaran yang besar, sistem yang berdiri sendiri penting. Sistem ini biasanya bertindak sebagai Master Lisensi. Master Node Sistem ini biasanya terletak bersama server Deployment. Untuk penyebaran yang besar, sistem yang berdiri sendiri penting. Rancangan dan Rencana Desain indeks dan sourcetypes. Kedua hal ini akan sulit untuk diubah nanti. Indeks dan sourcetypes membantu pengelolaan data. Lihat Bidang Defaultfield dan Indexed. Gunakan sourcetypes untuk mengelompokkan data dengan kesamaannya. Jika kejadian dihasilkan oleh perangkat yang sama dan dalam format yang sama, kemungkinan besar akan menjadi satu jenis sumber. Lihat posting blog yang bagus ini dengan penamaan Sourcetype. Cobalah untuk mengumpulkan acara sedekat mungkin (dalam hal geografi dan lokasi jaringan). Peristiwa ini bisa dikumpulkan dengan Splunk Universal Forwarder. Dan kemudian dikirim ke pengindeks yang mungkin merupakan lokasi sentral. Usahakan agar kepala pencarian sedekat mungkin dengan pengindeks. Hal ini akan meningkatkan kecepatan pencarian dalam mengakses acara. Gunakan alamat IP yang terpisah bila memungkinkan. Seperti: manajemen, koleksi log, kepala UIsearch web dan menggunakan IP terpisah untuk berbagai sumber protein utama. Semua ini membuat penyebaran Splunk Anda lebih dapat diperluas, memberikan pilihan kontrol akses yang lebih baik, dan memungkinkan pemecahan masalah dan analisis yang bagus. Gunakan skema penamaan yang konsisten di Splunk Search Heads. Pengindeks untuk memastikan akurasi dan mengurangi waktu penyelesaian. Rencanakan dengan cermat penggelaran koleksi acara Windows (log Peristiwa dan data Kinerja) untuk memastikan kesuksesan. Banyak alat pengumpulan acara Windows memiliki berbagai keterbatasan seperti pemotongan kejadian pada 512 atau 1024 byte. Splunk Universal Forwarder tidak memiliki keterbatasan ini dan dapat digunakan untuk mengumpulkan kejadian Windows secara efisien dan efisien dari Enterprise terdistribusi besar. Sebaiknya gunakan SplunkTAWindows. Untuk logging yang sangat mendalam pada sistem kritis, pertimbangkan untuk menggunakan addon Splunk untuk sysmon Microsoft selain SplunkTAWindows. Akuntabilitas tim tunggal. Sebuah tim tunggal harus bertanggung jawab atas Splunk daripada membagi ini di beberapa departemen, divisi, atau entitas. Selain itu, sebagian besar penyebaran Splunk memerlukan pemahaman yang intim tentang penggunaan yang dimaksudkan dan oleh karena itu disarankan agar tim yang menjadi pengguna utama Splunk juga harus mengelola penerapannya. Ini umumnya sama dengan implementasi yang lebih berhasil. Gunakan Splunk License Master untuk mengendalikan perizinan pengindeks Anda dan jangan lupa untuk menyertakan kepala pencari Anda dan forwarder berat apa pun di dalam lisensi itu. Jika Anda berada dalam penyebaran terdistribusi, dengan beberapa kepala pencarian dan penyerang Splunk, sangat mempertimbangkan untuk menggunakan Deployment Server. Menggunakan server penyebaran dapat membantu menjaga konfigurasi yang konsisten di sistem Splunk, dan membuat perubahan konfigurasi menjadi lebih mudah (tidak perlu menyentuh setiap sistem). Saat menggelar Pengindeks, sangat mempertimbangkan pengelompokan pengindeks. Bahkan ketika memulai dengan satu Indexer, dimulai dengan node induk untuk mengelola konfigurasi pada pengindeks tersebut akan memastikan perluasan ke beberapa pengaturan pengindeksan tidak menimbulkan rasa sakit. Hati-hati dan konsisten menggunakan port mendengarkan Splunk8217, yang mengikat proses back-end yang spesifik. Beberapa direferensikan saat Splunk dimulai. Secara umum di sini adalah port standar, jika belum diubah. Tcp8089 8211 splunkd 8211 Splug8217s port daemon digunakan untuk server pencarian dan penyebaran terdistribusi. Tcp8000 8211 splunkweb 8211 port web Splunk8217s digunakan untuk akses UI web. Tcp8191 kvstore Splunk8217s menyimpan nilai kunci. Tcp9887 8211 Indeks cluster replication 8211 Port umum digunakan untuk mereplikasi data Splunk di lingkungan cluster index. Catatan: Ini bisa berupa port yang diijinkan, 9887 hanyalah sebuah contoh. Tcp9997 8211 splunktcp pendengar 8211 Port biasa digunakan untuk mengirim event dari Splunk forwarder ke Splunk listener (pengindeks atau forwarder lainnya). Catatan: Ini bisa jadi port yang diijinkan, 9997 hanyalah sebuah contoh. Tcp9998 8211 splunktcp pendengar SSL 8211 Port biasa digunakan untuk mengirim event dari Splunk forwarder ke Splunk listener (pengindeksan atau forwarder lainnya) dengan menggunakan enkripsi. Catatan: Ini bisa jadi port yang diijinkan, 9998 hanyalah sebuah contoh. Lakukan pengecekan integritas. Splunk sangat tepat dalam cara mengumpulkan dan mewakili data Anda Namun, jika Anda mengirimkannya data palsu atau duplikat, itu mungkin mengindeks ini juga. Terkadang meninjau masukan Anda dan memastikan data Anda akurat, prangko waktu bagus, dan tidak ada kesalahan seperti kejadian yang salah atau diduplikasi. Ada aplikasi Data Onboarding pada Splunkbase yang dapat membantu memeriksa indeks, sourcetypes, hosts, dan model data untuk memastikan data Anda sedang on-boarded dengan benar. Untuk Enterprise Security, ada aplikasi validasi pada Splunkbase untuk memeriksa integritas Implementasi Keamanan Perusahaan Anda. Integrasikan AD untuk otentikasi. Splunk terintegrasi dengan cukup baik dengan Active Directory untuk mengotentikasi pengguna. Konfigurasi ini memungkinkan Anda untuk menetapkan pengguna ke grup di AD lalu memetakan grup ini ke peran di Splunk. Saat pengguna ini masuk ke Splunk, mereka diberi kemampuan dan hak spesifik yang diberikan oleh peran tersebut. Ini adalah granular RBAC (Role Based Access Controls). Alat MS AD adsiedit.msc bagus untuk mencari domain AD untuk item berharga yang diperlukan untuk menyiapkan auth AD di Splunk. Alat ini terinstal secara default pada sistem AD 2008, namun perlu dipasang secara manual sebagai bagian dari paket RSAT pada versi Windows lainnya. Gunakan OU terpisah untuk Active Directory Integration. Saat mengkonfigurasi AD, Anda dapat menentukan daftar satu atau lebih bindgroupDN untuk Splunk untuk mencari grup di AD. Jika Anda hanya memberikan root dir dari semua kelompok maka Splunk bisa mengembalikan seratus kelompok Groups. Selain itu, jika memanfaatkan kelompok yang ada mungkin ada banyak pengguna lain dalam grup yang tidak ingin Anda akses ke Splunk. Jika Anda membuat baseou baru (misalnya OUsplunkgroups) di AD, buat grup akses Anda berdasarkan ini, mis. (OUunixadmins, OUsplunkgroups, OUnetworkadmins, OUsplunkgroups), maka Anda dapat mengatur bindgroupDN menjadi splunkgroups untuk meminimalkan grup yang dikembalikan serta pengguna yang memiliki akses ke Splunk. Migrasi Data Indeks Ini bisa sangat rumit dan Anda harus berhati-hati karena Anda bisa menghancurkan dan menonaktifkan data Anda. Disarankan agar Anda menghubungi Splunk support atau PS membantu Anda. Jika Anda harus melakukan ini secara manual, baca dan pahami dokumentasi dan bagaimana struktur bucket bekerja, dan Anda dapat melihat tulisan jawaban ini mengenai subjek ini. Pertimbangkan implikasi dari penguraian data secara langsung pada Pengindeks Anda atau menggunakan Intermediate Heavy Forwarder. Di Splunk 6.2, ada beberapa perbaikan pada apa yang memerlukan restart pada Indexers. Secara umum, Heavy Forwarders berkecil hati. Bergerak menjauh dari Heavy Forwarders mengurangi jumlah sistem yang akan dikelola. Tidak ada Heavy Forwarder berarti Anda selalu tahu di mana data Anda sedang diurai (the Indexer). Dalam kasus penggunaan yang sangat spesifik, Heavy Forwarder masih bisa memberikan nilai. Ketika melakukan sejumlah besar operasi penguraian waktu pada data, seperti sejumlah besar pengubahan Index, Host dan Sourcetype, Heavy Forwarder dapat digunakan untuk mengurangi beban CPU pada Indexers. Secara umum ini tidak diperlukan dan hanya mempersulit penyebaran. Dalam situasi di mana kantor jarak jauh dibatasi bandwidth atau mungkin memiliki koneksi jaringan yang tidak dapat diandalkan, pertimbangkan untuk menggunakan Universal Forwarder Intermediate. Hal ini akan mengurangi jumlah koneksi pada link terbatas bandwidth, serta memberikan kontrol yang lebih baik terhadap tingkat pembatas jika diinginkan. Informasi. Untuk menentukan perangkat keras dengan Splunk memerlukan lebih dari sekedar panduan singkat, namun daftar berikut mungkin bisa membantu Anda untuk memulai. Ini tidak dimaksudkan untuk menggantikan diskusi pelingkupan dengan Salesman Splunk, melainkan untuk membantu pelanggan dalam persiapan untuk keterlibatan layanan profesional. Splunk hardware planning. Menjawab ketiga pertanyaan ini akan cukup untuk penyebaran rata-rata, namun tidak semua penerapan. Splunk hardware planning. Tahu apa ukuran dari penyebaran Anda. Anda harus tahu jumlah yang Anda harapkan untuk diindeks. Selain itu, Anda harus memiliki gambaran kasar tentang berapa banyak pengguna Splunk akan ada, dan intensitas intensitasnya. Akhirnya, Anda harus memahami sumber data Anda dan juga loadvolume atau kompleksitas yang dibutuhkan untuk mengumpulkan data darinya. Splunk hardware planning. Tentukan komponen apa yang anda butuhkan. Baca tentang komponen Splunk untuk lebih memahami apa yang ada. In general, most deployments would benefit from having the following: (1) Search Heads (2) Indexers (1) Deployment Server Master Node Splunk hardware planning . Determine number of indexers. According to Splunk8217s Documentation. a single indexer can accommodate up to about 300GBday. If you are processing 100GBday of data volume for use with Enterprise Security, you will need approximately 340GB more space available across all of the indexers to allow for up to 1 year of data model retention and source retention. An indexer, when used in an ES deployment, can accommodate up to 100GBday. Also note that newer versions of ES (starting with 3.0) no longer store summary data in TSIDX file on search head, Please see Splunk8217s deployment planning documentation for updates to these numbers as they can vary at times. These numbers should be considered the absolute maximum an Indexer can do under ideal circumstances. Adding search load or app load to a distributed Splunk install will dramatically reduce the amount of indexed data per data that can be searched effectively. Recommended Splunk Enterprise sizing: 150GBday per Indexer. Add Indexers when volume reaches 200GBdayIndexer Recommended Splunk Enterprise Security sizing: 60GBday per Indexer. Add indexers when volume reaches 80GBdayIndexer Splunk doesn8217t prescribe exactly what hardware you must purchase however, you should read through the following documentation to better understand their minimum specs: High-Level System Requirements Hardware Capacity Planning Reference Hardware CPU Spec. CPU is somewhat varied depending on what component you are talking about. For indexers, the current sweet spot for servers has been 12-16 core machines (I.e. dual socket six or eight core CPUs). Splunk can work with either AMD or Intel architecture on x86 systems, but is typically run on Intel hardware. Memory Spec. Memory is somewhat varied depending on what component you are talking about. Generally speaking indexers do particularly well with 16 GB of memory, meanwhile other components might require less. Enterprise Security8217s search load can apply more memory pressure. With that in mind, 24GB of memory on Indexers running ES is recommended. Splunk takes advantage of file system caching provided with most modern Linux distributions, so adding memory can provide a great benefit. Scale by adding more Indexers. In a well-configured distributed Splunk environment, you can scale simply by adding more indexers. The Universal Forwarders can forward data to the new indexer, and your search heads will request data from the new indexer. Generally speaking, this scales linearly resulting in a situation where double the indexers will cut search time in half. Methodically plan storage needs for a new deployment, prior to implementation. A useful Splunk sizing site . Splunk8217s documentation on sizing . Storage Hardware. Drive speed makes a difference. Splunk has informally documented that an increase in drive-speed will have a dramatic improvement on performance. Solid state drives can result in a massive speedup in very specific use cases. Be aware of the cost per GB tradeoffs for the speed. Solid state drives provide the largest speedups in the needle in a hay stack use case. Solid state drives do not provide much performance in dense searches (high event counts). Consider the trade off of having less total hot storage that is faster versus more total hot storage that is slower in some uses cases. What will your typical search period be Your hot volume should cover that, with a little bit of breathing room. Distributed Architecture. Carefully plan Splunk Distributed Architecture to ensure the most accurate and efficient processing . Storage Needs. Methodically plan storage needs for a new deployment, prior to implementation. RAID Level. Use RAID10 whenever possible for the Splunk datastore. Little impact will be seen at low volumes however, at higher data volumes you will see performance improvement with RAID10 over RAID 5 or 6. Benchmark storage. Splunk recommends 800 IOPS (InputOutputs Per Second) or better on your storage tier. This should be considered the minimum. Splunk will benefit greatly from increased disk performance above the 800 IOPs minimum. To get this performance, you will need to be using fast drives in an optimal RAID configuration served by an efficient controller (either internal, DAS, or SAN). There are various ways to test your storage to benchmark your current values, but the mostly commonly used method is via the venerable tool bonnie found in the repository of every major Linux distribution. There are many online guides (even on Splunk8217s site) for how to run this tool however, below is the gist: Ensure the target drive to be tested (e.g. splunkhot) is mounted and relatively not in use (meaning stop Splunk if it is running). You want to not use it in order to get an accurate reading from bonnie without competing for resources with it. Next, run the bonnie command against the target drive, with a -s option equal to 3-10x the amount of RAM you have in MB bonnie -d splunkhot -s 264000 -u root:root -fb If you choose to, you can pipe the above to one of these two commands (both come with bonnie): boncsv2html, boncsv2txt In the output, Random Seeks IOPs Architecture type. Splunk should be run on 64 bit platforms. Although it is compatible with 32 bit platforms, it is strongly discouraged. Universal Forwarders on 32 bit systems is perfectly acceptable. Data Routing Information: Data routing allows the Splunk administrator to selectively determine what incoming data gets ingested, what gets forwarded, and what gets dropped. Drop incoming data with the nullQueue. Beware not to go nullQueue -happy and drop too much. Many events while insignificant by themselves provide useful information when trended or otherwise analyzed. Data is often not considered security relevant at first, until there is a security incident related to the data. Consider this before dropping any data that could be useful in the future. Forward to a Splunk system whenever possible, but if there is a Use Case to send to an external system, following these instructions to Forward data to third party systems. Beware there are some caveats of doing this. Use Splunk AutoLB (Load Balancing ) to distribute data to multiple indexersforwarders. Much of this configuration must be done with the outputs.conf file. Ensure all critical systems have consistent time configuration. Systems generating events should have the proper time to ensure the events they create will be able to be correlated when analyzed. Consider NTP use throughout the enterprise as well as frequent time audits of the most critical systems to ensure accuracy. Consider doing regular time-audits. This is where you evaluate the time of your most critical systems to ensure they are consistent. If the data is in Splunk, then this task might just take a few minutes every month or so and is well worth it. The data onboarding app mentioned above provides dashboards to assist with this. Explicitly configure Splunk to read time stamp information from incoming events. Splunk8217s reads the time stamp from incoming events, which it then associates to the event in the index and the underlying buckets. It is imperative that time stamps and timezone offsets be parsed and set correctly both for usability and efficiency purposes. Test new inputs. When new inputs will be created, test the data first by ingesting some of it and determine if it requires adjustments such as for time stamps. event-processing (such as breaking). Syslog before Splunk. Traditional syslog technologies (syslogd, syslog-ng, rsyslogd) are simple and featureless compared to Splunk, but this is their advantage. Since these packages rarely change and require a small amount of resources, they are perfect for being the initial recipient of syslog data on the network. When network devices send syslog messages, this data is frequently UDP (connectionless) and therefore vulnerable in-transit. Even TCP syslog can be lost if the receiving host is unreachable. Place a syslog application (e.g. syslog-ng) on the network to receive the syslog feeds and configure the application to write the data out to files. Ideally, have the files be application-specific (e.g. firewall.log, router.log, maillog.log, etc.). Splunk can be installed as a forwarder on the same host to read these files and forward them on. If Splunk requires a restart or is otherwise unavailable (i.e. during an upgrade), it can pick up where it left off reading the files on disk. Please see other recommendations for managing these files. Too many files. Ensure a single instance of Splunk does not monitor more than a few hundred active files. If there are more than this, consider implementing a process (i.e. cron) to move the previous day8217s (or week perhaps) syslog directory out of the monitored directory-structure to an archive location. You know you have a problem with too many files if the Splunk instance involved has something like this in its logs: File descriptor cache is full . You might also benefit here by increasing the ulimit (see Adjust ulimit in this document). Avoid overwriting or hard-coding the 8220source8221 field in the data. Doing so can make troubleshooting problematic inputs more difficult. A useful resource on Data onboarding is the 2014 Splunk .Conf talk. Both the slides and a recording are available. Syslog Input Strip priority out of TCP inputs. In accordance with RFC3164 a Syslog priority message is prepended to each syslog event. By default, Splunk will strip this out on incoming UDP see inputs.conf documentation regarding the noprioritystripping directive. The problem is, that many devices still prepend this priority when sending events via TCP . Splunk expects the events to be RFC-compliant and not contain the priority so does not know to remove it. Here is an example of what an event looks like: To strip this out, add the following to the appropriate stanza of the props.conf for the target sourcetype: Watch out for chained syslog time stamps. If an event is relayed through multiple syslog servers (for example the local syslog on a Linux system sending events to a remote syslog server), there may be two time stamps at the start of the event. Carefully configure your Splunk props.conf to ensure the correct time stamp is extracted for the event. High Performance Syslog The Linux UDP input buffer has a fixed amount of memory allocated to it. When the amount of incoming data exceeds this buffer, packets are dropped. On a very busy server, this could happen frequently or in some cases continually. The memory allocated to the UDP input buffer is distribution-specific. This means, that depending on your flavorversion of Linux, this buffer size can vary. Be sure to understand what it is, and how it operates. Syslog systems should be tested and tuned to perform as needed. Information . Calculate Capacity by Messages Imagine a device that generates messages that are 250-450 bytes with most being over 350. If we average conservatively that the messages are 400 bytes big, how many EPS could be processed before saturating half the link such as in the Syslog-NG Example below A 100mbs link is capable of 100000000812500000 bytessec Half of this is 6250000 (what the Syslog-ng folks could do) Divide this by 400 (average bytesmessage) and you get 15625 which is the total amount of messages we could possibly receive if optimally configured with tcp given the parameters. Syslog-NG Example The syslog-ng developers have a blog where they discuss possible volumes with the 2.0 OSE: 100mbs net TCP messages 44000 messagessec all 150 bytes long This means they are processing 440001506600000 bytes per second Multiply 66000008 to get bandwidth: 52,800,000 So syslog-ng optimally configured (by its developer) can use about half of the 100mbs Ethernet connection without dropping packets Information . Calculate Capacity by License Size Imagine a 50GB license Divide by seconds per day 86400 to see an average of how much data could be pushed through the network on average: 5000000000086400578703 (bytessecond) Multiply the above by 8 to get bits per bytes (5000000000086400)84629624 (bitssecond) Application or Data Specific SEP Data import. For Symantec Endpoint Protection, you can put the SEP server in a configuration where it will write out temp files that a Splunk Universal Forwarder can read. Here is the Symantec knowledge-base document on how to configure this. While it is possible to configure SEP to send data via syslog, in some cases this data is incomplete, and unreliable. Also be aware that there are significant differences in the event format of SEP events between versions (most notably versions 11 and 12), which may result in failed extraction of fields if your TA or current extractions are expecting a different version. Avoid reading Windows raw EVT(X) files if at all possible. Instead, configure a Splunk Forwarder to access Windows Event Manager directly to ingest Windows Events. If your use case requires direct reads of the Windows EVT(X) binary files then consider the following information: EVT(X) files are the raw binary-format files that Windows uses to store its logs on the file-system. These files are nothing like normal log files and therefore present some challenges to any attempt to reconstitute them back into usable logs (Note: These issues have nothing to do with Splunk): They reference GUIDSIDs in lieu of systemuser names. This means that the EVT(X) File Parsing Host must have access to make AD queries to the Domain Controllers that can provide details and convert the codes referenced by the Logging Host. They reference DLL files that contain the pertinent information instead of placing it in the actual log. This means any DLL referenced by the Logging Host MUST be available on the EVT(X) File Parsing Host in order to interpret the logs. Since the EVT(X) files are a subset of the information they represent, a 99MB EVTX file converts to almost 500MB of indexed data. There are TB of logs stored on the CIFS share. The volume both to the Splunk license, system storage, and ADDC calls should be considered before fully-integrating this. Ingest time is slow since many AD calls are necessary for GUIDSID queries. In our tests, many GUIDs and some DLL references didn8217t convert in the event logs, leaving lots of useless events. This may be a result of either inconsistent AD details or missing DLLs on the Log Parsing Host Splunk on Windows can natively ingest EVT(X) files Splunk Enterprise Security Implementation Adjust VM Swap. Lower the vm.swappiness in 8216sysctl8217 to something like: 8216vm.swappiness108217 Adjust ulimit. Adjust the ulimit if necessary such as: Apply changes to sysctl with sysctl -p Apply changes to limits.conf by logging out and logging in again Administration Manage Assets Lists. Continue to manage your ES Asset List to always get the most value out of your deployment. Manage Identities. Manage your ES Identities to always get the most value out of your deployment. Forwarder Deployment Change the admin password on forwarders. All Splunk systems have a default username of admin and password of changeme and this includes Forwarders (Universal Forwarders and Full Forwarders). Take time to plan your deployment prior to implementation to ensure the most success. Centrally-manage Splunk configurations. Ensure you have a way to consistently and accurately manage configurations across the enterprise, such as with the Splunk deployment server Information . Topologies for Deployment Server Windows Deployment Information . Custom EventLogs on Splunk for Windows are discussed here . Information: Splunk has the ability to use WMI to monitor Eventlogs remotely. WMI is very clunky, and generally should not be used due to network and system performance implications . Scripted deployment for Windows UFs. You can script your deployment of Universal Forwarders for Windows depending on what tools you have available at your disposal. There are a few things to keep in mind though such as: On a version with UAC (User Access Controls) such as Visa, 2008 or Windows 7, you must be in an admin shell to install software Although it is much easier to have the Splunk MSI files in a UNC that you can mountreach from any system, sometimes windows security policy prevents this from working. If msiexec is failing consider copying the MSI installer local and try it again. There are a few things to keep in mind though, specifically that you want to pass the following msiexec arguments: AGREETOLICENSE, INSTALLDIR (since many sites want to install to some drive besides c Below is an example content that you can put in a criptpackage-management and it is based on having a Splunk deployment server in place A complete list of MSIEXEC flags . Linux Deployment Scripted deployment for Linux UFs. You can script your deployment of Universal Forwards for Linux depending on what tools you have available at your disposal. There are a few things to keep in mind though, specifically that you probably want to pass the following Splunk start-time arguments: 8211accept-license, 8211answer-yes, 8211no-prompt Below is an example content that you can put in a scriptpuppetrpm and it is based on having a Splunk deployment server in place. Note: that this hard-codes a download of the Splunk UF RPM at each invocation. It would be much smarter to use a local repo and replace that portion of the script with a call to this location with something simple like: yum install splunkforwarder Performance Lots of things can affect Splunk performance, including: System resources, Splunk architecture, Splunk configurations (e.g. lookups, extractions), and dashboards. Before attempting any performance remedies, first try and determine what may be adversely affecting your deployment8217s performance. UI Performance Remedies Use Summary Indexing for increased reporting efficiency. As you add more data and more users to Splunk, you will benefit from Summary Indexing. As of Splunk 5, it is also possible to use report acceleration. Not all searches qualify for acceleration . As of Splunk 6, it is also possible to use data model acceleration. Any pivot or report generated by that data model will complete much quicker than it would without the acceleration, even if the data model represents a significantly large dataset. Implement a central software management system (e.g. RPM repo, Puppet, Satellite Server) to manage packages and configurations to forwarders and other related systems. Managing Splunk instances on these remote systems always has problems and leads to issues such as: Very old (out of date) versions of Splunk throughout the enterprise Forwarders that have not had Splunk configured properly or locked down (e.g. changing the admin password and turning off Splunk web) Inconsistent configurations leading to similar systems setting different metadata on the same type of logs. Architecture type. Splunk works well with both 32 and 64 bit platforms however, there is a considerable performance improvement for 64 bit and this should be selected (both for Hardware and Operating System) whenever possible. Partitions and Volumes Use LVM to manage underlying file-system space. Only allocate storage space to an LVM from a Volume Group as necessary and preserve the extra for emergencies or future use. Make better use of LVM partitioning by creating discrete logical volumes for each major portion of the system such as , var, tmp, optsplunk and maybe even splunkdata Search Help Print the Splunk Cheatsheet (PDF or Manual ) for users. This is a great resource for learning the search language. The Splunk Reference Card PDF is also a great resource, and a laminated version can be purchased from the Splunk Schwag store . Consider taking a Splunk EDU class. Splunk has multiple classes focusing on search and dashboarding. Storage and Data Management New Index. It is almost always appropriate to use multiple indexes and not just maindefault . Create a new index if the answer of any of the following questions is yes . Does the target data require separate retention controls from other data Does the target data require separate access controls from other data Will Splunk users wish to either search the target data by itself or search other data and omit this target data Consider moving your Splunk database ( SPLUNKDB ) to its own volume to ensure clean separation of the binaryconfiguration structure and the data. This is not necessary, but there are advantages in high-volume environments. Data retention. Implement data retention and disk usage controls explicitly and early instead of waiting for a disk to fill. Configure retention in indexes.conf to push older data to remote volumes such as NFS mount for data archive. Caution . Changes to the retention policy ( indexes.conf ) can be perilous and the effect is not always immediate. Be sure you know what you are changing and have tracked changes and the results appropriately to ensure it has the desired effect. DRPBCP. Configure a Disaster Recovery and Business Continuity Plan for your Splunk deployment. This will include implementing a backup plan. Consider backups for the SPLUNKHOMEetc on each standalone search head (non-pooled) and the cluster node to a remote drive on a frequent interval. If an unmentionable happened, you can copy this directory to a new Splunk instance to restore. (sample script below to put in cron.daily or weekly) Backup the master node, the SPLUNKHOMEetcmaster-apps directory to a remote drive is recommended to quickly build a new master node. (sample script below to put in cron.daily or weekly) Backup the deployment server, the SPLUNKHOMEetcsystemlocalserverclass.conf and the SPLUNKHOMEetcdeployment-apps directory to a remote drive is recommended to quickly build a new deployment server. (sample script below to put in cron.daily or weekly) See the Storage Hardware section in this document for many notes regarding hardware. Deployment Server Deployment Server Selection The DS can be collocated with any other full Splunk instance however, there are also some reasons why it might need to be stand-alone. Since the DS requires so many active TCP sessions (at least one for each connected client), choose a system that already has a limited number of open TCP sessions to other systems, such as a Search Head. Ensure the DS server has plenty of memory. Consider a stand-alone system if the number of deployment-clients will exceed 300-500 Consider one Deployment Server instance for every 2000 polls per minute. Create a DNS host name specific to the DS (e.g. splunk-ds.yourfoo.fqdn) and use this name for all communication from the deployment-clients. This will make it much easier to migrate later, if you choose to. Adjust the polling period on clients to make a single server scale further. Use the clientName directive in the deploymentclient.conf to ease whitelisting and blacklisting in your serverclass.conf Only deploy configuration and parsing apps, such as Technology Addons (TA8217s). There is very little value in deploying dashboard based apps, and in some cases may cause complications. Prepend deployed configuration apps (not TA8217s) with 8220DS-8220. This distinction can help tremendously when troubleshooting problems with deployment clients. App Development Ensure all (if possible) searches call saved searches or use other knowledge-items such as Macros or Eventtypes. Containing all of these knowledge-items helps with manageability of the data across an enterprise deployment. Managing bare searches across apps or called externally via scripts does not scale well and can create a big problem during upgrades, migrations, and other maintenance. When creating fieldseventtypes refer to the Splunk Common Information Model to ensure forward-compatibility with Splunk and Splunkbase built-ins. When developing an app, ensure that any log or pid files are not stored in the app8217s directory. If the app is distributed via deployment server, the files and directory structure in the app will be replaced with those from the deployment server, which would include any log or pid files. Use GetWatchList. GetWatchList is a free Splunk app on Splunkbase that allows users to manage lookup tables on the system without requiring shell or administrative access. These lookups can be used in various ways but the most popular method is as watchlistsOS Configuration or Hardening Enterprise Security has many useful dashboards for various protocols. Consider using apps designed for specific products such as the Cisco Security Suite or the Gigamon Visability app for Splunk .
Python-genetic-algorithm-for-trading-system
Bergerak-rata-rata-jenis